Нечеткое тестирование в Office

Исходная статья опубликована 2 мая 2011 г.

Мы внесли несколько изменений в разработку и тестирование программы обеспечения эффективной работы, которые позволили сделать Office 2010 самой безопасной из всех версий Microsoft Office. Помимо учета потенциальных угроз при разработке Office, анализа программного кода для выявления изъянов в системе безопасности и тестирования на проникновение, для создания более безопасного программного обеспечения также использовался процесс нечеткого тестирования. В следующей статье будут рассмотрены другие улучшения безопасности.

В последнее время в среде специалистов по безопасности было много споров о нечетком тестировании, в том числе в недавней статье группы CERT Сравнение безопасности: Microsoft Office против Oracle OpenOffice и в статье Дэна Камински (Dan Kaminsky) Нечеткое тестирование: жесткая система показателей безопасности для проверки качества программного обеспечения?.

Сегодня мы хотим рассказать о методе нечеткого тестирования и о нечетком тестировании файлов, которые применялись группой Office.

Дополнительные сведения о безопасности Office 2010 см. в техническом документе Безопасное хранение корпоративных данных с помощью Microsoft Office 2010 в центре загрузки Microsoft и на сайте Центра ресурсов безопасности Office 2010 в TechNet.

  Нечеткое тестирование файлов 101

Нечеткое тестирование файлов — это процесс изменения формата файлов с помощью ввода случайных ("нечетких") данных в приложение и отслеживания отклика приложения на эти данные. Такая процедура тестирования выполняется как компаниями-разработчиками программного обеспечения, так и злоумышленниками, разрабатывающими вредоносные программы. Компании-разработчики используют эту методику для обнаружения ошибок или проблем в своих приложениях, а также для проверки безопасности и стабильности приложений перед их выпуском для общего доступа. С другой стороны, разработчики вредоносных программ применяют нечеткое тестирование файлов или атаки на формат файлов, пытаясь найти и использовать уязвимости в приложениях. После обнаружения уязвимости злоумышленник может создать атаку, нацеленную на формат файла, чтобы попытаться использовать эту уязвимость.

Атаки на формат файла ориентированы на проблемы целостности файла и происходят, когда злоумышленник изменяет структуру файла с целью добавления вредоносного кода. Внедренный злоумышленником вредоносный код выполняется при открытии зараженного файла. В результате злоумышленник может получить несанкционированный доступ к компьютеру. С помощью несанкционированного доступа злоумышленник может прочитать секретные данные с жесткого диска компьютера или установить вредоносную программу, например вирус-червь или программу регистрации нажатых клавиш.

Нечеткое тестирование и предотвращение вторжения

Группа Office использовала автоматизированное распределенное нечеткое тестирование файлов для выявления ошибок и потенциальных уязвимостей приложений во время разработки Office 2010. Кроме того, тестирование продолжается на протяжении всего жизненного цикла поддержки. В ходе тестирования миллионы файлов Office, представляющих весь спектр из более 300 форматов файлов набора Office, тестировались различными способами десятки миллионов раз в неделю в попытке обнаружить новые уязвимости во всех форматах файлов, открываемых приложениями Microsoft Office.

В Microsoft Office 2010 для борьбы с атаками посредством нечеткого тестирования файлов могут использоваться и другие средства, например режим защищенного просмотра, параметры блокировки файлов, предотвращение выполнения данных, технология ASLR (Address Space Layout Randomization) и проверка файлов.

Недавно мы также включили эту технологию проверки файлов в обновления для Office 2003 и Office 2007. Это поможет защитить пользователей, которые еще не используют Office 2010, от атак посредством нечеткого тестирования файлов. Мы настоятельно рекомендуем всем клиентам развернуть эти обновления. Дополнительные сведения см. в статье TechNet Проверка файлов Office в Office 2003 и Office 2007.

 

Это локализованная запись блога. Исходная статья находится по адресу Fuzz Testing in Office